[TYPO3-UG Dutch] {Fraud?} Re: {Fraud?} Re: "Click to enlarge" link verwijst naar Wikipedia artikel?
Sacha Ligthert
sacha at ligthert.net
Fri Nov 30 12:13:48 CET 2007
Beste Anthony en Lijst,
Anthony Donker / Inconel BV wrote:
> Het lijkt mij er eerder op dat iemand je typo3-installatie OF de server
> heeft 'gehacked' waardoor hij je doorstuurt
> Naar de script-kiddie wikipedia pagina (vandaar mijn vermoeden).
>
Ik heb zelf het vermoeden dat dit een anti-x-site scripting maatregel is
van de hostende partij.
Als het daadwerkelijk gehacked zou zijn waren gevolgen denk ik iets
ingrijpender.
> Zo even uit het hoofd zou ik niet kunnen bedenken waar je exact zou
> moeten kijken,maar wellicht een idee om door
> De typo3-installatie te zoeken naar de en.wikipedia.org-benaming. Als
> het hardcoded erin staat zou je met bijvoorbeeld
> ZEND met 'find in files' kunnen zoeken naar 'en.wikipedia.org'.
>
> Een andere mogelijkheid is natuurlijk om in de backend te zoeken naar
> 'en.wikipedia.org' omdat het wellicht via typoscript
> Erin gezet kan zijn..
>
Ik heb grep en phpMyAdmin los gelaten op de zoekterm 'wikipedia' zonder
resultaat.
Ik ga in contact proberen te komen met de hoster, vragen waar het
misschien aan kan liggen. Ik denk zelf een xsite-scripting iets.
Groet,
Sacha Ligthert
> Succes!
>
> Anthony
>
>
> -----Oorspronkelijk bericht-----
> Van: typo3-ug-dutch-bounces at lists.netfielders.de
> [mailto:typo3-ug-dutch-bounces at lists.netfielders.de] Namens Sacha
> Ligthert
> Verzonden: vrijdag 30 november 2007 4:16
> Aan: TYPO3 Usergroup Dutch
> Onderwerp: [TYPO3-UG Dutch] {Fraud?} Re: "Click to enlarge" link
> verwijst naar Wikipedia artikel?
>
> Beste Lijst,
>
> Kort vervolg onderzoek wijst mij erop dat of typo3 of de server zelf
> clients door verwijst. Zie hier een netcat sessie:
>
>
>> $ nc ravenbergenstoffeerders.nl.server13.firstfind.nl 80 GET
>> /cms/index.php?eID=tx_cms_showpic&file=uploads%2Fpics%2F2_01.jpg&width
>> =800m&height=600m&bodyTag=%3Cbody%20bgcolor%3D%22black%22%3E&wrap=%3Ca
>> %20href%3D%22javascript%3Aclose%28%29%3B%22%3E%20%7C%20%3C%2Fa%3E&md5=
>> d3f83659e8b6bf4cf72d4b151fc52835
>> HTTP/1.0
>> Host: ravensbergenstoffeerders.nl.server13.firstfind.nl
>>
>> HTTP/1.1 302 Found
>> Date: Fri, 30 Nov 2007 03:13:20 GMT
>> Server: Apache/1.3.33 (Debian GNU/Linux) mod_layout/3.2
>> PHP/4.4.7-0.dotdeb.0 with Suhosin-Patch mod_ssl/2.8.22 OpenSSL/0.9.7e
>> Location:
>> http://en.wikipedia.org/wiki/Script_kiddie?eID=tx_cms_showpic&file=upl
>> oads%252Fpics%252F2_01.jpg&width=800m&height=600m&bodyTag=%253Cbody%25
>> 20bgcolor%253D%2522black%2522%253E&wrap=%253Ca%2520href%253D%2522javas
>> cript%253Aclose%2528%2529%253B%2522%253E%2520%257C%2520%253C%252Fa%253
>> E&md5=d3f83659e8b6bf4cf72d4b151fc52835
>> Connection: close
>> Content-Type: text/html; charset=iso-8859-1
>>
>> <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD>
>> <TITLE>302 Found</TITLE>
>> </HEAD><BODY>
>> <H1>Found</H1>
>> The document has moved <A
>> HREF="http://en.wikipedia.org/wiki/Script_kiddie?eID=tx_cms_showpic&am
>> p;file=uploads%252Fpics%252F2_01.jpg&width=800m&height=600m&am
>> p;bodyTag=%253Cbody%2520bgcolor%253D%2522black%2522%253E&wrap=%253
>> Ca%2520href%253D%2522javascript%253Aclose%2528%2529%253B%2522%253E%252
>> 0%257C%2520%253C%252Fa%253E&md5=d3f83659e8b6bf4cf72d4b151fc52835">
>> here</A>.<P>
>> </BODY></HTML>
>>
> Is dit een nieuwe 'feature' van typo3 of is de server gewoon /raar/?
>
> Groet,
>
> Sacha Ligthert
> _______________________________________________
> TYPO3-UG-dutch mailing list
> TYPO3-UG-dutch at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-dutch
>
>
> _______________________________________________
> TYPO3-UG-dutch mailing list
> TYPO3-UG-dutch at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-dutch
>
More information about the TYPO3-UG-dutch
mailing list